朝鲜黑客分发木马化的DeFi钱包应用程序，窃取受害者的密码

朝鲜政府支持的黑客团队，也被称为Lazarus集团，被认为是另一个出于财务动机的活动，该活动利用特洛伊木马化的分散金融（DeFi）钱包应用程序，将一个功能齐全的后门分发到受损的Windows系统上。

该应用程序发起的感染计划还导致为合法应用程序部署安装程序，该应用程序会被特洛伊木马版本覆盖，以掩盖其踪迹。也就是说，最初的访问途径尚不清楚，尽管它被怀疑是一个社会工程的案例。

这一衍生的恶意软件伪装成谷歌的Chrome网络浏览器，随后启动了一个为该链构建的钱包应用程序，同时还建立了与远程攻击者控制的域的连接，并等待服务器的进一步指示。

根据从命令和控制（C2）服务器收到的响应，特洛伊木马程序继续执行各种命令，从而能够收集系统信息、枚举和终止进程、删除文件、启动新进程以及在机器上保存任意文件。

这场战役中使用的C2基础设施完全由位于韩国的先前受损的网络服务器组成，这促使网络安全公司与该国的计算机应急响应团队（KrCERT）合作拆除这些服务器。

两个多月前，卡巴斯基披露了拉扎勒斯小组（Lazarus sub group）发起的类似“抓取加密”活动的细节，该小组被追踪为BlueNoroff，目的是从受害者的MetaMask钱包中抽取数字资金。

卡巴斯基伟大的研究人员指出：“对于拉扎勒斯威胁行动方来说，财务收益是主要动机之一，尤其是对加密货币业务的重视。随着加密货币价格的飙升，以及不可替代代币（NFT）和分散金融（DeFi）业务的普及，拉扎勒斯集团针对金融业的目标不断演变。”